Il rapporto interrotto fra Associazione Rousseau e Movimento 5 Stelle è argomento quanto mai attuale, ma restano una serie di interrogativi circa le sorti dei dati degli iscritti e, soprattutto, sul destino possibile di eventuali richieste di esercizio dei diritti avanzate da parte degli interessati.
In una comunicazione pubblica Conte ricorda gli obblighi normativi che incombono sull’Associazione Rousseau, in quanto nel regolamentare il rapporto con il responsabile del trattamento occorre precisare alcuni contenuti inderogabili ai sensi dell’art. 28 GDPR. Fra gli obblighi dell’accordo stipulato fra titolare e responsabile è infatti previsto alla lettera h) del par. 3 che il responsabile “su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati”. Le modalità operative di tale operazione sono rimesse alla contrattazione delle parti, e sorprende non poco che neanche un estratto dei punti fondamentali dell’accordo stipulato sia mai stato posto a disposizione degli interessati per rafforzare le garanzie di trasparenza dettate dal trattamento sistematico e su larga scala di dati di categorie particolari quali sono le opinioni politiche.
Tanto premesso, dal momento che la conservazione è un’attività di trattamento, il principale rischio ai sensi della normativa in materia di protezione dei dati personali per l’Associazione Rousseau qualora non ottemperi alla richiesta di restituzione sarà incorrere in un trattamento in difetto di una base giuridica idonea e il non conformarsi alle istruzioni documentate del titolare (ai sensi dell’art. 28.3 lett. a) GDPR). Inoltre, ricorrendone i presupposti specifici, il rischio potrebbe estendersi anche alla commissione del reato di trattamento illecito di dati.
Ma al di là dell’azione del responsabile, il titolare ha assicurato e garantito un elevato livello di protezione dei dati personali degli interessati?
Volendo cogliere gli spunti offerti dalla vicenda, certo non rassicura molto la lettura dell’informativa privacy attualmente pubblicata sul sito istituzionale, che ad oggi non risulta aggiornata nella parte in cui contempla ancora la Piattaforma Rousseau. E dai dubbi di trasparenza, consegue una preoccupazione circa la concreta capacità di dare seguito alle richieste di esercizio dei diritti degli interessati.
Inoltre: quale è stata la misura adottata per garantire la capacità di assicurare su base permanente la disponibilità dei sistemi e dei servizi di trattamento svolti tramite il responsabile designato? Stante la querelle concernente la restituzione dei dati degli iscritti, il timore è che l’ipotesi di mancata restituzione dei dati (anche per incidente che coinvolge il responsabile) non sia stata contemplata.
Always have a backup plan non dovrebbe essere solo una frase motivazionale. Soprattutto quando la propria organizzazione trova la propria ragion d’essere proprio nelle attività di trattamento di dati personali.
